Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Ähnliche Präsentationen


Präsentation zum Thema: "Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119"—  Präsentation transkript:

1 Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax: von Firewallkonzept der GWDG (IK GWDG 10/06) Andreas Ißleiber

2 2 Firewallkonzept der GWDG (Notwendigkeiten) Dienstleistungsangebot der GWDG für Institute Schutz des gesamten GÖNET sowie aller Institutsnetze vor Angriffen von Außen Absicherung der Institutsnetze untereinander Prävention bei Viren,Trojaner sowie Hacker-Angriffen aus dem Intra- und Internet (primär eine Aufgabe des IPS) Ablösung der bestehenden ACLs der zentralen Router Vereinfachung/Verbesserung der ACLs (statefull inspection FW) Ausfallsicherheit: Aufbau von redundanten Systemen Vereinfachtes Management der Sicherheitsregeln

3 3 Firewallkonzept der GWDG (Auswahlkriterien) 1)Einheitliches Management 2)Mehrmandantenfähigkeit 3)Fähigkeit zur Redundanz, Loadbalacing 4)Hoher Durchsatz 5)Einfache Regelstruktur (leicht erlernbar) 6)Transparenter Mode (Stealth Mode) 7)Einfache Integration in bestehende Netzwerkstruktur 8)Logging (syslog) 9)Kombination mit Viruserkennung 10)Erweiterbarkeit 11)Preis Fett = Muß-Kriterien Normal = Kann-Kriterien

4 4 Firewallkonzept der GWDG (Firewallanbieter) CISCO FWSM (Firewall Service Modul) gute Integration CISCO PIX zu wenig Interfaces(VLANs) Checkpoint Firewall-I sehr hoher Preis Checkpoint Appliance (NOKIA,SUN) sehr hoher Preis Fortigate (Fortinet) Probleme im Testbetrieb (GWDG) Sonicwall zu geringe Performance

5 5 Firewallkonzept der GWDG (Auswahl) Ergebnis 2004: Entscheidung für CISCO FWSM (FireWall Service Modul) Begründung: 1)Gute Integration in bestehenden Struktur durch VLANs 2)Mehrmandantenfähigkeit 3)Redundanz 4)Transparenz (Stealth Mode) 5)Management Was ist mit der Grundregel, möglichst zwei unterschiedliche Hersteller von FWs einzusetzen ? (Beispiel: Checkpoint & CISCO FWSM) Prinzipiell Ja: Im vorliegenden Fall aber nicht sinnvoll, da unterschiedliches Management, mangelnde Integration in Netzumgebung, zu hoher Preis es nicht rechtfertigen ? !

6 6 Firewallkonzept der GWDG Firewallkonzept der GWDG (Ein zweistufiger Ansatz) Schutz des gesamten GÖNET sowie aller Institutsnetze vor Angriffen Absicherung der Institutsnetze untereinander Prävention bei Viren,Trojaner sowie Hacker-Angriffen aus dem Intra- und Internet Ziel Die GWDG verfolgt ein zweistufiges, Konzept bestehend aus … 1.) Zentrale Firewall (First Level Firewall, CISCO Firewall Service Modul) Realisierung Diese Firewall befindet sich am Übergabepunkt zwischen X-WIN und GÖNET Bei neuen Angriffsvarianten, kann ein Schutz sehr schnell an zentraler Stelle für alle Institute durch Basisregeln aufgebaut werden Die Basisregeln haben für das gesamte GÖNET Gültigkeit

7 7 Firewallkonzept der GWDG Firewallkonzept der GWDG (Ein zweistufiger Ansatz) Die dezentralen Firewalls befinden sich an den entscheidenden vier Knotenpunkten des GÖNET Diese sind als Zusatzmodule direkt in die GÖNET-Router integriert Die Module werden an strategisch wichtigen Orten eingesetzt Vorhandene Infrastruktur der Router (redundante Anbindung, redundante Netzteile, USV) ist gleichzeitig für die Firewalls nutzbar Institutseigene Firewall ist nicht mehr erforderlich 2.) Dezentrale Firewalls (Second Level Firewall, CISCO Firewall Service Modul) Realisierung

8 8 51 Zentrale, schnelle Firewall für den grundlegenden Schutz des gesamten GÖNET (first Level Firewall) GÖNET-Backbone-Router 4 Durch zusätzliche, dezentrale Firewall geschütztes Institut. Hohe Sicherheitsstufe bestehend aus Kombination von First level & Second Level Firewall 5 Institut ist durch die zentrale Firewall mit einem Basisregelsatz geschützt ist. Dezentrale Firewalls sind in die Backbone-Router integriert (second Level Firewall) 2 Internet 4 GÖNET zentrales Firewall-Management bei der GWDG Institut 1 Bereich mit hohem Schutz (second Level) Bereich mit hohem Schutz (second Level) Bereich mit mittlerem Schutz (first Level) Bereich mit mittlerem Schutz (first Level) 2 7 Zentrale Administration der Firewalls, integriert in ein bestehendes Netzwerkmanagement 3 Internet-Router 3676 Legende … Firewallkonzept der GWDG Firewallkonzept der GWDG (Integration im GÖNET)

9 9 Firewallkonzept der GWDG ( Firewallkonzept der GWDG (Virtuelle Firewall & Administration) GÖNET Router CISCO 6509 FWSM FireWall Service Module mit virtuellen Firewalls (FW) Institut BInstitut A Virtuelle Firewall mit Regelsatz B Virtuelle Firewall mit Regelsatz A Zzgl. Basisregeln Zentrale Firewall mit Basisregeln Firewall Administration des Instituts B Firewall Administration des Instituts A Jede institutsspezifische Firewall ist durch eine virtuelle Firewall auf dem FWSM abgebildet Virtuelle FW´s erlauben eine getrennte, autonome Administration der Firewallregeln für das jeweilige Institut Komplettschutz Alles von Innen nach Außen ist erlaubt Alles von Außen nach Innen ist verboten Zugriff auf interne Server Alles von Innen nach Außen ist erlaubt Zugriffe auf interne Dienste von Außen sind erlaubt Alles Andere ist verboten … Weitere Regelsätze … Die GWDG kann zusätzlich alle virtuellen Instituts-Firewalls zentral administrieren Realisierung durch CISCO FWSM (FireWallServiceModul), integriert in allen GÖNET CISCO Routern (6509) Die GWDG stellt vordefinierte Regelsätze für die virtuellen FWs zur Verfügung: Internet

10 10 Firewallkonzept der GWDG ( Firewallkonzept der GWDG (Failover & Redundanz) 1 Kommunikationsweg bei einer logischen oder physischen Unterbrechung der Strecke zwischen Institut und Die Verbindung läuft hierbei über die redundanten Backbone-Router des GÖNET, wobei der Schutz der Institute durch die Firewall(s) bestehen bleibt Firewall-Redundanz im GÖNET geplant ab Anfang 2007 Kommunikationsweg zwischen Institut und im störungsfreien Betrieb 2 Internet Institut Legende … 12ABABAB Institut

11 11 Firewallkonzept der GWDG ( Firewallkonzept der GWDG (Ausbaustand, 10/06) Internet GWDG Module:2 Physiologie Module: 2 Theologicum Module:2 GWDG/Internet(XWIN) Physik Module: 2 FMZ (in Zukunft) MPIBPC Module:2 GÖNET Theor.PhysikRöntgenphysik Metallphysik Astrophysik III-Physik Biochemie Veg.Physiologie Servernetz MPI f. Dynamik SUBZVW Alle Abteilungen der MPIBPC * Ein Reservemodul stets bei der GWDG NMR-II Mitarbeiter netz GuestNet Stand: 10/06, A.Ißleiber

12 12 Firewallkonzept der GWDG Firewallkonzept der GWDG (CISCO FWSM, Features) FWSM, Features Als Modul in bestehende CISCO Router integrierbar Nahezu gleiche Konfiguration wie PIX-Firewalls Variable, große Anzahl an Interfaces (VLANs) Hoher Durchsatz <= 6 GBps Management IOS- sowie webbasiert und durch PDM/ASDM Betrieb im transparenten, oder Routed-Mode (NAT/PAT) Multiple security contexts (Mehrmandantenfähig) Special Features: ARP Inspection DNS Guard Flood Guard Frag Guard ICMP Filtering Mail Guard TCP Intercept Unicast Reverse Path Forwarding

13 13 Firewallkonzept der GWDG Firewallkonzept der GWDG (FWSM, Funktionsprinzip) FWSM Internet Intern DMZ Intern2 VLAN20 VLAN30 VLAN10 Router (CISCO 65xx) VLAN1 Switching- engine VLAN1: Kommunikation zwischen FWSM und Router VLAN10,20,30: Interne Netze durch VLANs getrennt … VLAN10,20,30: VLANs können, … müssen aber nicht an physikalische Interfaces gebunden sein VLANxx Das Firewallmodul besitzt keine eigenen Interfaces Kommunikation erfolgt ausschließlich über VLANs !

14 14 Firewallkonzept der GWDG Firewallkonzept der GWDG (FWSM, Funktionsprinzip) Position des FWSM und der MSFC (Multilayer Switch Feature Card) Routing zwischen VLANs 301,302,303 ohne Nutzung des FWSM Firewallregeln zwischen VLANs 201,202,203 bestimmen den Verkehr

15 15 Firewallkonzept der GWDG Firewallkonzept der GWDG (FWSM, Modes) Zwei grundlegend unterschiedliche Modi für das FWSM möglich 1.) Routed Mode NAT/PAT ist aktiviert FWSM übernimmt das Routing Firewallregeln zwischen VLANs FWSM-Interfaces bekommen IP-Adresse VLAN1=SVI (Switched VLAN Interfaces) i.d.R. NAT nach Außen FWSM Internet VLAN1 IP: Mask: Default GW: IP: Mask: Default GW: / / (VLAN 3) (VLAN 2) Default route des FWSM

16 16 Firewallkonzept der GWDG Firewallkonzept der GWDG (FWSM, Modes) 2.) Transparent Mode Stealth mode Gleiches Netz hinter und! vor der Firewall Vorteil: wenig Änderungen an bestehender Struktur IP-Adressen werden nicht verändert (kein NAT) Eine IP für das Management der Firewall Nur ein inside & ein outside Interface pro Gruppe FWSM Internet VLAN1 IP: Mask: Default GW: IP: Mask: Default GW: / / (VLAN 3) (VLAN 2) VLAN 2 VLAN (Management IP) inside outside

17 17 Firewallkonzept der GWDG Firewallkonzept der GWDG (FWSM, Context) Virtuelle Firewalls Context erlaubt die Unterteilung in virtuelle Firewalls Jeder Context kann eigenständig administriert werden Voneinander getrennte, eigene Konfigurationsdatei pro Context Getrennte Administration Jeder Context bekommt eigene(s) VLAN(s) Zuweisung von Ressourcen pro Context möglich per default, zwei Contexts verfügbar Lizenzen in 20ér Schritten möglich

18 18 Firewallkonzept der GWDG Firewallkonzept der GWDG (FWSM, NAT) Unterschiedliche NAT/PAT Verfahren: Dynamic NAT PAT Static NAT Static PAT Bypassing NAT, Exemption

19 19 Firewallkonzept der GWDG Dynamic NAT Firewallkonzept der GWDG (FWSM, Dynamic NAT) Dynamisches NAT IP Pool mit ext. Adressen n m Anzahl interner IPsexterner IPs Internet / NAT Pool: dyn. NAT

20 20 Firewallkonzept der GWDG PAT Firewallkonzept der GWDG (FWSM, PAT) PAT n 1 Lokaler IP-Pool (n) nach Außen mit z.B. einer externen IP-Adresse sichtbar Internet /24 Single IP PAT

21 21 Firewallkonzept der GWDG Static NAT Firewallkonzept der GWDG (FWSM, Static NAT) Statisches NAT n n, 1 1 Jede lokale Adresse mit exakt einer globalen Adresse sichtbar Internet /24 NAT Tabelle: 1:1-Nat … oder auch n:n-NAT / / Static NAT

22 22 Firewallkonzept der GWDG Firewallkonzept der GWDG (FWSM, Port Redirect) Port Redirection Bsp: Umleitung zu einem Web-Proxy Internet / WWW Proxy Server redirect WWW zu redirect zu Verbindung zu

23 23 Firewallkonzept der GWDG bypassing NAT Firewallkonzept der GWDG (FWSM, bypassing NAT) Kein NAT, NAT-Excemption Quell- & Zieladresse bleiben unverändert Quell- & Zielport bleiben unverändert Bsp.: PC baut direkte Verbindung zu PC auf ACLs bleiben aktiv Internet Inside / DMZ / NAT

24 24 Firewallkonzept der GWDG Firewallkonzept der GWDG (FWSM, Management) Management der Firewall durch: IOS commandline ssh telnet (wg. Seicherheit nicht sinnvoll) console (seriell) Über den Catalyst (Switch/Router) Web-basiert PDM (Pix Device Manager) bzw. ASDM (neu)PDM mittlerweile gute Alternative zur Commandline Cisco Security Manager (in Zukunft parallel zum ASDM) Zentrale Cisco Security Managementlösung Definition von Regelsätzen und Verteilung auf die Firewalls

25 25 Firewallkonzept der GWDG Firewallkonzept der GWDG (Management, Zugang) Zugang zu den Firewallsystemen: Über das ASDM Authentifizierung wird über zentrale RADIUS-Server erreicht, sodass die Aministratoren das eigene Password benutzen können. Gruppierung/Zugriffsrechte erfolg über RADIUS-Server (Wer, darf von Wo, Was an der Firewall administrieren) Unterschiedliche Zugriffvarianten FullAccess (für wenige Administratoren: Mather, Gelbe, Beck, Ißleiber) Firewallgruppen (z.B. GWDG-Helpdesk) ReadOnly (GWDG – Intern, fast Alle)

26 26 Firewallkonzept der GWDG Firewallkonzept der GWDG (ACL vs. Firewall) ACL vs. Firewall(ACL): ACL: -ACL werden auf dem Router definiert. -Basieren auf einfachen Regeln (Quell-IP Port Ziel-IP) -Beide Richtungen müssen beachtet werden (IN/OUT) -Bsp: permit tcp any eq 80

27 27 Firewallkonzept der GWDG Firewallkonzept der GWDG (ACL vs. Firewall) Router-ACL ProContra Ohne Zusatzkosten nutzbar auf vorhandenen GÖNET-Routern Nicht stateful, daher komplexe Struktur Schnell in der AusführungKein Management, undurchschaubare Konfiguration Bei UDP-Traffic praktisch nicht einsatzfähig (wg. Öffnen der Rückports) Keine Korrelation zwischen IN- und OUT-Traffic (non stateful) Bsp.: FTP Keine (nicht binären) Gruppierungen möglich Inspection höherer OSI-Schichten nicht möglich (z.B. HTTP,FTP-Traffic- Inspection) Kein NAT,PAT Kein IP-Spoofing-Protection

28 28 Firewallkonzept der GWDG Firewallkonzept der GWDG (ACL vs. Firewall) Firewall (ACL) ProContra Statefull: Rückverbindungen werden erkannt und erlaubt Hoher Preis Regeln mit UDP-TrafficZusätzliche Hardware erforderlich (Firewallmodul) Einfache Gruppierungen: IP-Gruppen, Port-Gruppen Überschaubares Management, Mandantenfähig, Rechtemanagement Inspection der höheren Layer möglich (bis zu L7) NAT,PAT, Policy-NAT,Excemtion-NAT etc. Inspection-MAP erlaubt die Anpassung von Inhalten in der Paketen (Bsp: DNS bei NAT). Randomize TCP-sequence numbers Syntax-Check in den Firewallregeln

29 29 Firewallkonzept der GWDG Firewallkonzept der GWDG (ACL vs. Firewall) Verbindungsbeispiel TCP : Webserver: Client: Nr. SourcePortDestination 1.) ) (>1024) Bei einer Router ACL muß eine Regel für 1.) und! für 2.) (Rückverbindung) definiert werden (ggf. nur Vereinfachung durch z.B. Syn-Flag-Filterung) Eine Firewall (weiß) die Rückverbindung automatisch zuzuordnen und erlaubt den Traffic ohne zusätzliche Regel (stateful) Source Port=1025, Dest-Port=80 Source Port=80, Des.Port=1025

30 30 Firewallkonzept der GWDG Firewallkonzept der GWDG (ACL vs. Firewall) Verbindungsbeispiel UDP : DNS-Server: Client: Nr. SourcePortDestination 1.) ) (>1024) Bei einer Router ACL muß eine Regel für 1.) und! für 2.) (Rückverbindung) definiert werden. Bei UDP ist diese nicht (sinnvoll) möglich (UDP ist nicht verbindungsorientiert). Eine Firewall (weiß) die Rückverbindung automatisch zuzuordnen und erlaubt den Traffic ohne zusätzliche Regel auch bei UDP (stateful) Source Port=1030, Dest-Port=53 Source Port=53, Des.Port=1030

31 31 Firewallkonzept der GWDG Firewallkonzept der GWDG (ACL vs. Firewall)... permit tcp host any eq 3389 permit tcp host any eq 443 permit tcp host any eq 3389 permit tcp host any eq 443 permit tcp host any eq 3389 permit tcp host any eq 443 permit tcp host any eq 3389 permit tcp host any eq 443 permit tcp host any eq 3389 permit tcp host any eq 443 permit tcp host any eq 3389 permit tcp host any eq 443 permit tcp host any eq 3389 permit tcp host any eq weitere ACL(s) !! Rückverbindungen müssen auch berücksichtigt werden !! Beispiel: Zugriff der Verwaltungssysteme auf die Terminalserver in Router ACL(s):

32 32 Firewallkonzept der GWDG Firewallkonzept der GWDG (ACL vs. Firewall) in Firewall (ACL) -Definition der Server IP-Gruppe (Source) -Definition IP-Gruppe (Destination) -Definition der Ports als Gruppe

33 33 Firewallkonzept der GWDG Firewallkonzept der GWDG (Erfahrungen) Erfahrungen: CISCO hat eine etwas andere Sichtweise hinsichtlich Firewall im Vgl. zu anderen Herstellern Einarbeitungszeit erforderlich Bei Vorhandensein von CISCO Routern, fast keine sinnvolle Alternative zum FWSM Sehr gutes Commandline Interface sowie Management CISCO ist auch nicht Fehlerfrei: SMTP-Bug, ASDM-Bugs Firewall durchaus auch in Kombination mit Router ACL sinnvoll nutzbar (Voraussetzung: CISCO Security Manager) Fazit: Das FWSM ist im GÖNET (GWDG) die richtige Wahl

34 34 Firewallkonzept der GWDG Firewallkonzept der GWDG (Weitere Planung) Weitere Planungen: 1)1/2007: werden wir redundante FWSM im GÖNET über verschiedene Standorte aufbauen 2)Ende 2006 : Zusammen mit dem GWDG-HelpDesk (AG-H) die einfache Administration von Sperrlisten ermöglichen 3)Ende 2006: Installation des CISCO Security Managers (virtual Host), um zentral die FWSM zu administrieren. Überdies ist eine zusätzliches Management der Router ACLs hiermit möglich 4)Ende 2006/Anfang 2007-: Weiterer Ausbau der Institutsfirewalls: - ZHG, WI2, UNI-Techniknetz, MPIBPC (Abteilungen), Campus,... 5)2007 – 2008:Erweiterung des Managements hinsichtlich Authorisierung der Administratoren (ggf. über TACACS) 6)in 2007 : Logfileauswertung der Firewall zur Erkennung interner Attacken (Virenausbreitung etc.)

35 35 Firewallkonzept der GWDG Firewallkonzept der GWDG (Ansprechpartner) Ansprechpartner bei der GWDG: Kollegen: B,Gelbe, H.Beck, K.Mather, A.Ißleiber... sind hinsichtlich Firewall im GÖNET(&GWDG) die Ansprechpartner

36 36 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen Vielen Dank! und Diskussionen! Vortrag ist unter: … … zu finden ? ?


Herunterladen ppt "Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119"

Ähnliche Präsentationen


Google-Anzeigen